[发明专利]选择性开启可信测量核心根（CRTM）

说明书

背景技术

可信计算组(TCG)定义硬件和软件部件以建立安全的或“可信的”计算环境。由TCG定义的一个硬件/固件部件是信任平台根(ROT)。该平台ROT识别可信测量核心根(core root of trust for measurement，CRTM)的安全存储选项。CRTM规定预定义策略并且执行平台完整性测量。该平台完整性测量包括测量系统等级度量或执行用于设备的计划用户的完整性测试。由于在建立可信计算环境中CRTM的重要性，TCG建议CRTM必须是不可改变的(也就是，不能改变的)。如果部分或全部的设备基本输入/输出系统(BIOS)用作为CRTM，那么由于更新BIOS有时候是所希望的或者甚至是必须的，因此出现冲突。当前的BIOS刷新方法依赖于使得黑客和/或流氓应用程序能够不希望地修改部分或者全部BIOS的应用程序等级快速实用程序。 

附图说明

为详细描述本发明的典型实施例，现在将参考附图，其中： 

图1示出了根据本发明的计算机的实施例； 

图2示出了根据本发明的系统的实施例；以及 

图3示出了根据本发明的方法的实施例。 

符号和术语 

在整个描述中使用某些术语以参考特殊的系统部件。本领域普通技术人员将意识到：计算机公司可以以不同的名字来参考部件。该文献不打算在名字而非功能上存在区别的部件之间进行区分。在随后的讨论和权利要求中，术语“包括”和“包含”是以一种开放的形式来使用的，因此将解释为“包括，而非限制于…”。并且，术语“耦合”的意思是间接的、直接的、光学的或者无线的电连接。所以，如果第一设备耦合到第二设备，该连接可以是通过直接的电连接、经由其他设备或连接的间接电连接、通过光学的电连接、或者通过无线电连接。 

具体实施方式

以下针对发明的各种实施例进行讨论。尽管这些实施例中的一个或多个是 优选的，但是所讨论的实施例不被解释为或者另外用作为包括权利要求的公开内容范围的限制。另外，本领域普通技术人员将懂得随后的描述具有广泛的应用，任何实施例的讨论仅意味着该实施例的典型实施，并不是用来暗示包含权利要求的公开内容范围限于实施例。 

遵从可信计算组(TCG)规范的设备或计算机平台执行可信测量核心根(CRTM)。在至少一些实施例中，部分平台的基本输入/输出系统(BIOS)(例如引导块)能够用作为CRTM。在可选的实施例中，附加的BIOS例程或者所有的BIOS能够用作为CRTM。由于在平台寿命周期期间BIOS经受修改，所以发明的实施例能够使得平台制造者或者其他授权组织以保护CRTM的有效性的方式安全地更新BIOS。 

图1示出了根据本发明实施例的计算机100。计算机100例如是服务器、台式计算机、膝上型计算机或者移动设备。在一些实施例中，计算机100包括与可信平台模块(TPM) 120、BIOS 110和系统存储器150通信的处理器134。例如可以将BIOS 110实施为部分芯片组(例如“南桥”)或者其他模块。 

配置TPM 120以提供加密功能，诸如Rivest Shamir Adleman(RSA)算法、安全杂凑(hashing)(例如SHA-1)引擎、杂凑信息鉴别检测(HMAC)引擎、密钥产生、随机数产生、存储、初始化功能、以及管理功能。TPM120使用软件、固件和/或硬件来实现。 

如图1所示，TPM120包括与处理器134通信的输出/输出(I/O)接口122。I/O接口122耦合到其他的TPM部件，诸如加密服务124、随机数源126、不对称算法128、存储器130和平台配置寄存器(PCR)132。加密服务124支持诸如杂凑、鉴别签名和加密等功能。随机数源126产生用于加密服务124的随机数。例如在一些实施例中，加密服务124使用随机数以产生加密密钥。不对称算法128能够使得TPM120执行不对称密钥操作。存储器130安全存储由TPM 120保护的秘密(例如，加密密钥或其他数据)。PCR 132存储有关计算机100当前状态的信息。例如，在一些实施例中，PCR 132存储与计算机100相关的单个完整性度量以及完整性度量序列。